Actualmente estoy usando la extensión mysqli php.

Tradicionalmente, he usado mysqli_real_escape_string para escapar de la entrada del usuario. Sin embargo, estoy buscando cambiar el código (con suerte en la menor cantidad de pasos posible) para usar declaraciones preparadas.

Quiero ser claro en esto: siempre que use declaraciones preparadas para vincular todas mis variables, ¿puedo estar seguro de que la inyección sql es imposible? (¿Y prescindir completamente de mysqli_real_escape_string?)

Gracias